Поддерживается из коробки как дефолтный протокол VPN на винде начиная с седьмой, маке, iOS. Работает в пространстве ядра, в отличии от юзерспейсового tun/tap, поэтому на слабых железках вроде роутеров работает быстрее чем openvpn.

Насколько быстрее ? Есть тесты?

и это штатными средствами, без всяких костылей

я юзаю вот эту штуку https://github.com/gaomd/docker-ikev2-vpn-server у меня vps на digital ocean, там последний debian. но мое решение не лучшее, почти не поддерживается, и однажды я с него уйду вот сюда: https://github.com/jlund/streisand streisand — это хороший, известный, поддерживаемый проект. рекомендую его. не рекомендую OpenVPN просто из-за необзодимости доп. софта, в то время как IKEv2 IPsec VPN умеют все операционный системы, включая мобильные (ну, могу говорить что все apple устройства точно умеют)

кроме ios только blackberry нативно умеет

на андройды нужно ставить strongswan

а еще на маке/ios можно сделать режим VPN-онли, когда без впн-а нет интернета и он всегда подключен

это оч крутая штука %)

я юзаю вот эту штуку https://github.com/gaomd/docker-ikev2-vpn-server у меня vps на digital ocean, там последний debian. но мое решение не лучшее, почти не поддерживается, и однажды я с него уйду вот сюда: https://github.com/jlund/streisand streisand — это хороший, известный, поддерживаемый проект. рекомендую его. не рекомендую OpenVPN просто из-за необзодимости доп. софта, в то время как IKEv2 IPsec VPN умеют все операционный системы, включая мобильные (ну, могу говорить что все apple устройства точно умеют)

А, ну мне на мобильных без надобности, я впн только на рабочем ноуте и на шлюзе который роутит трафик домашней сетки запускаю

я пользуюсь openvpn когда нужно пролезть по одному порту, и вот на мой вкус он значительно медленее даже на десктопе

взять хотя бы время подключения

Привет. Ни у кого с телеграмом проблем с подключением нет?

телеграм сломался на части европы

взломали его

русские хакеры

https://twitter.com/telegram/status/827154204359798784

РУССКИЕ!111

)

слава росссии стоят ребята под знаменем с коловратом?

взломали его

Мне кажется что их заигрывания с невзламываемостью сыграют против них. Рано или поздно сольют всю переписку и опубликуют

предсказываю взлом телеграма в ближайшие два-три года

ЗАПОМНИТЕ ЭТОТ ТВИТ

с ру ип не работает

с нидерландского впн тоже

только ваша конфа прогрузилась и переписка с самим собой

включай североамериканский

ну хоть сайт починили, а то и telegram.org лежал

включай североамериканский

нету такого

У меня телега весь день работает отлично, слава хунте и мертвому королю

Возможен слив базы?

Пароли точно хранят в открытом виде

Ибо смской высылают если забыл

Ты кстати показывал недавно живучую SD-карту для серверов, которую собирался в rpi совать. А есть ли такие же USB флешки?

Есть переходники emmc2usb, emmc должно хватить по запасу и/о

Ибо смской высылают если забыл

Ну вот могли это поменять, либо планировать к смене. Но могли и утечь

Ну вот могли это поменять, либо планировать к смене. Но могли и утечь

К смене чего?

К смене чего?

Думаю имелся ввиду плановый сброс паролей

Хотя в существующих реалиях мало верится

форсировать смену пароля на более сложный это норм и даже правильно.

К смене чего?

К смене метода хранения. Например сделать соседний столбец и складывать туда хэши новых паролей

К смене метода хранения. Например сделать соседний столбец и складывать туда хэши новых паролей

Это можно сделать прям в базе не трогая пользователей, тем более если сейчас пароли в открытом виде.

форсировать смену пароля на более сложный это норм и даже правильно.

Нет. Это правильно в интерпрайз сети. А в клиентском сервисе диктовать парольную политику (А тем более безосновательно заставлять менять пароль) - неприемлемо. За редким исключением вроде личных кабинетов фин.институтов

Это можно сделать прям в базе не трогая пользователей, тем более если сейчас пароли в открытом виде.

Можно, но тогда будут хэши текущих паролей. Могут иметь подозрение в инсайдерской работе

> @ViolentOr А в клиентском сервисе диктовать парольную политику (А тем более безосновательно заставлять менять пароль) - неприемлемо почему? если юзеров не ткнуть мордой и не показать как нормально — то хрен они сами сделают нормально

и потом сами будут ныть что мой акк похекали

> @ViolentOr А в клиентском сервисе диктовать парольную политику (А тем более безосновательно заставлять менять пароль) - неприемлемо почему? если юзеров не ткнуть мордой и не показать как нормально — то хрен они сами сделают нормально

Потому что это может привести к оттечке клиентуры. Если один сервис заебывает сменой пароля, а другой точно такой же нет - у второго будет больше клиентов

заставлять менять пароль это может и перебор, но отказываться принимать слабые пароли это нормальная практика которая практикуется кучей крупных сервисов

Отказываться принимать, в разумных пределах - нормально безусловно. Либо хотя бы предупреждать.

словарные типа 123456 или password1 точно нужно чекать и отказываться принимать я считаю

Но здесь то речь о требовании сменить пароль после определенного момента в будущем. Это, с большой вероятностью, говорит о планируемом апдейте в механизме.

словарные типа 123456 или password1 точно нужно чекать и отказываться принимать я считаю

В банкинге - возможно. И даже, наверное, интересно может получиться. А вот если мне начнет парольную политику диктовать, например, сервис доставки пиццы - с большой вероятностью я его пошлю

сервис для доставки пиццы это тоже стремно

там вбито куча твоих перс данных включая реальный адрес и телефон

плюс кредитка

Утечка которых повлечет за собой

Согласен

Я особо не скрываю, если честно. А кредитки я в таких сервисах не сохраняю

Да даже репутационный риск

Если сервис сольют, тоже клиентов убавится

Если сольют всю базу - безусловно. А если сбрутят десяток паролей из шести единиц - да и хрен с ними

если акк пользователя пробрутят и на его сохраненную карту начнут делать всякие покупки — то катить бочку он совершенно точно будет на сервис, а не на свою тупизну

так что сложная ситуация

Можно, но тогда будут хэши текущих паролей. Могут иметь подозрение в инсайдерской работе

Не понял аргумент. Ну будут хеши bcrypt, и что с того? Оригинальные пароли и грохнуть можно, после конвертации.

если акк пользователя пробрутят и на его сохраненную карту начнут делать всякие покупки — то катить бочку он совершенно точно будет на сервис, а не на свою тупизну

Оплата по карте без 3дс это уже зашквар сервиса

вот что я реально ненавижу до зубовного скрежета — это ебаный 3ds

Не понял аргумент. Ну будут хеши bcrypt, и что с того? Оригинальные пароли и грохнуть можно, после конвертации.

Могут считать что текущие пароли уже слиты/будут слиты сотрудником. Т.е. не взлом, не утечка на продажу, а внутренний фрод

почти все банки которые умеют 3ds используют смс в кач-ве фактора, а мобильная связь это такая штука которая внезапно не везде есть как и роуминг

вот что я реально ненавижу до зубовного скрежета — это ебаный 3ds

Аргументы? Он, конечно, сделан наглухо неправильно и кучу всего можно было сделать лучше.. Но с ним явно лучше чем без него

ERROR: S client not available

см. выше

почти все банки которые умеют 3ds используют смс в кач-ве фактора, а мобильная связь это такая штука которая внезапно не везде есть как и роуминг

Есть пуши как правило.

все банки которыми я пользуюсь ничего кроме смс (для физиков по крайней мере) предложить не могут

Не Россия?

неа

азия

Ну это конечно фейл банковской системы.

так-то 3ds с каким-то rsa токеном это отлично вообще, но такие банки нужно целенаправленно искать

Нет. Это правильно в интерпрайз сети. А в клиентском сервисе диктовать парольную политику (А тем более безосновательно заставлять менять пароль) - неприемлемо. За редким исключением вроде личных кабинетов фин.институтов

Реальный пример: Dear users, in last months we focused on security and privacy of our users. Passwords on the server are encrypted with BCRYPT cypher, which uses random salt. Database servers are in demilitarized zone. Connection is resistant to brute-force password hacking. We do NOT store any IP addresses or other private information about our users. We have changed TLS certificates, encrypting methods and our servers fulfill the highest security standards. https://xmpp.net/result.php?domain=jabb.im&type=client We believe that our server is among the safest public XMPP servers available. Now we see that the one of the biggest problems of XMPP world is spam. We are introducing easy way for enabling or disabling antispam filter. Service is available on https://jabb.im/antispam Our antispam service is based on privacy list feature and prevent to receiving messages from users not in your contact list. Have a nice day! Jabbim Team

В 2017 начали шифровать пароли

В 15 и 16 были утечки

Да, аппаратные токены это здорово, но физикам их редко дают

В 2017 начали шифровать пароли

Явно сообщили о действиях. Молодцы

а еще на маке/ios можно сделать режим VPN-онли, когда без впн-а нет интернета и он всегда подключен

Как на iOS сделать?

На маке знаю

Ну когда их сливали. Они также явно сообщали))

Реальный пример: Dear users, in last months we focused on security and privacy of our users. Passwords on the server are encrypted with BCRYPT cypher, which uses random salt. Database servers are in demilitarized zone. Connection is resistant to brute-force password hacking. We do NOT store any IP addresses or other private information about our users. We have changed TLS certificates, encrypting methods and our servers fulfill the highest security standards. https://xmpp.net/result.php?domain=jabb.im&type=client We believe that our server is among the safest public XMPP servers available. Now we see that the one of the biggest problems of XMPP world is spam. We are introducing easy way for enabling or disabling antispam filter. Service is available on https://jabb.im/antispam Our antispam service is based on privacy list feature and prevent to receiving messages from users not in your contact list. Have a nice day! Jabbim Team

Db в dmz? Нахуя?!

Ну когда их сливали. Они также явно сообщали))

Без правки звучало интереснее)))

Db в dmz? Нахуя?!

Security же, там написано)))

Без правки звучало интереснее)))

Уххаха отчасти правда))

Это новое слово в security

Хотя реально опечатался

Это новое слово в security

Помойму это у них давно, бд была глубоко внутри на 10.0.10.2

Ну глубоко внутри база это нормально. А вот в дмз зоне - крайне странно. Либо они как-то иначе дмз понимают

Для хранения только инфы для транзита, чтобы внешние сервисы забирали, не залезая в корп сеть

Или чотането?

Внешние сервисы должны работать с api

А база должна быть спрятана

Согласен, но бывали случаи хардкорные

Ну я знаю случаи когда для транзита еще фтп используют))

Причем даже не сфтп, не фтпс, а именно фтп